MaxPatrol SIEM All-in-One дает полную видимость IT-инфраструктуры малого и среднего масштаба и выявляет инциденты ИБ. Продукт позволяет получить полноценную работающую SIEM-систему при меньшем бюджете.
Обзор продукта
Для небольших IT-инфраструктур
Есть три модели — на 250, 500 и 1000 сетевых узлов. Возможен постепенный переход с меньшей модели на большую через апгрейд лицензии
Все ключевые преимущества MaxPatrol SIEM
MaxPatrol SIEM All-in-One включает большинство основных компонентов MaxPatrol SIEM. Поэтому пользователям All-in-One доступны все ключевые возможности продукта
Доступный старт в мир SIEM
3,5 млн руб. за лицензию на 250 сетевых узлов, 4,8 млн руб. — на 500 узлов, 7,3 млн руб. — на 1000 узлов. Стоимость сервера — 1,5 млн руб.
Для компаний с небольшой, но важной инфраструктурой
Если в вашей IT-инфраструктуре хранятся чувствительные данные и ее взлом может привести к репутационным рискам, потере денег или нарушению работы компании, нужно построить эффективную систему безопасности. MaxPatrol SIEM All-in-One помогает выявлять хакерскую активность внутри сети до наступления серьезных последствий и проводить расследования.
Отличия All-in-One от MaxPatrol SIEM
| MaxPatrol SIEM All-in-One | MaxPatrol SIEM | |
|---|---|---|
| Архитектура | Упрощенная. Нет компонентов для глубокого анализа трафика, проверки файлов и электронной почты на наличие в них вредоносного ПО и аналитического модуля для оценки общего уровня защищенности компании с распределенной инфраструктурой | Подбирается индивидуально под пожелания заказчика, размеры инфраструктуры и объем генерируемых событий в секунду (EPS) |
| Варианты поставки | Только в виде программно-аппаратного комплекса. Включает ПО и аппаратную платформу Dell | ПАК или ПО, которое можно развернуть на физическом сервере заказчика или в виртуальной среде |
| Масштабирование | Ограничено возможностью расширения лицензии до 1000 узлов. В состав лицензии входит один агент для сбора данных | Неограниченное масштабирование. Можно организовать несколько развернутых инсталляций в иерархию |
Архитектура
Основные компоненты MaxPatrol SIEM All-in-One разворачиваются на одном аппаратном сервере, который поставляется вместе с ПО. Компоненты PT Retro Correlator для ретроспективного анализа и PT Update and Configuration Service для получения онлайн-обновлений требуют дополнительных серверов (виртуальных или аппаратных).
1. MaxPatrol Core
Управляющий сервер
2. MaxPatrol SIEM Server
Обрабатывает события безопасности: выполняет агрегацию, фильтрацию, нормализацию и корреляцию событий, автоматически создает инциденты, привязывает события к активам
3. MaxPatrol SIEM Events Storage
Централизованно хранит информацию о событиях безопасности. В состав компонента входит служба Elasticsearch 7.4.2
4. MaxPatrol SIEM Agent
Cканирует активы в режимах черного и белого ящика и собирает события
5. PT Knowledge Base
Содержит пакеты экспертизы, макросы и схему полей событий, сведения о бюллетенях безопасности и возможном ПО на активах
6. PT Update and Configuration Service
Сервис онлайн-обновления компонентов MaxPatrol SIEM. Обеспечивает проверку наличия, загрузку и установку новых версий компонентов, а также обновление пакетов экспертизы, макросов, схемы полей событий и базы данных по уязвимостям. PT UCS можно развернуть в виртуальной среде
7. PT Retro Correlator
Выполняет повторную проверку полученных ранее событий при помощи правил корреляции. Разворачивается на дополнительном сервере
Схема взаимодействия компонентов
Отзывы
«MaxPatrol SIEM All-in-One — это быстрый способ получить работающую SIEM-систему. За три месяца с помощью консультаций специалистов Positive Technologies нам самостоятельно удалось внедрить систему и настроить необходимые источники. Благодаря этому мы получили подробную картину IT-инфраструктуры и отслеживаем инциденты ИБ».
Рассказываем в отчете, какие задачи заказчики ставят перед пилотным внедрением MaxPatrol SIEM, что чаще всего подключают в качестве источников событий и какие инциденты ИБ были выявлены.
Узнать деталиБесплатный пилот
Оцените возможности MaxPatrol SIEM All-in-One на вашей инфраструктуре — заполните заявку и начните выявлять актуальные угрозы с помощью экспертизы Positive Technologies.
Если вы хотите отслеживать активность в крупной сети, попробуйте MaxPatrol SIEM с гибкой архитектурой, возможностью бесконечного масштабирования и иерархически-распределенных инсталляций.
Узнать подробнее
«С внедрением решения MaxPatrol SIEM мы получили эффективный инструмент анализа в режиме реального времени всех событий безопасности, исходящих от множества сетевых устройств и приложений. Это позволило сотрудникам отдела информационной безопасности оперативно реагировать на любые события ИБ до наступления существенного ущерба. Время обработки событий также значительно сократилось».